Droša piekļuve klientu datiem, izmantojot Customer Lockbox un Power Platform Dynamics 365

  • Raksts

Lielākajai daļai darbību, atbalsta un problēmu novēršanas, ko veic Microsoft darbinieki (tostarp apakšapstrādātāji), nav nepieciešama piekļuve klientu datiem. Ar Power Platform klientu seifu mēs nodrošinām klientiem interfeisu, kurā pārskatīt un apstiprināt (vai noraidīt) datu piekļuves pieprasījumus retajos gadījumos, kad ir nepieciešama datu piekļuve klientu datiem. Tas tiek izmantots gadījumos, kad Microsoft inženierim ir nepieciešams piekļūt klientu datiem, reaģējot uz klienta ierosinātu atbalsta biļeti vai korporācijas Microsoft identificētu problēmu.

Šajā rakstā ir paskaidrots, kā iespējot klientu seifu un kā tiek ierosināti, izsekoti un glabāti seifa pieprasījumi vēlākai pārskatīšanai un auditiem.

Piezīmes

Klientu bloķēšanas kaste ir pieejama publiskajos mākoņos un ASV valdības kopienas mākoņa (GCC) GCC High un Aizsardzības departamenta (DoD) reģionos.

Kopsavilkums

Varat iespējot klientu seifu saviem datu avotiem nomniekā. Iespējojot Customer Lockbox, politika tiks ieviesta tikai vidēm, kas ir aktivizētas pārvaldītajām vidēm. Globālie administratori Power Platform un administratori var iespējot seifa politiku.

Papildinformāciju skatiet sadaļā Seifa politikas iespējošana.

Retajos gadījumos, kad Microsoft mēģina piekļūt klientu datiem, kas tiek glabāti Power Platform (piemēram, Dataverse), globālajiem administratoriem un Power Platform administratoriem tiek nosūtīts pieprasījums apstiprināšanai. Papildinformāciju skatiet sadaļā Seifa pieprasījuma pārskatīšana.

Visi seifa pieprasījumu atjauninājumi tiek ierakstīti un padarīti pieejami jūsu organizācijai kā audita žurnāli. Papildinformāciju skatiet sadaļā Seifa audita pieprasījumi.

Power Platform un Dynamics 365 lietojumprogrammas un pakalpojumi glabā klientu datus vairākās Azure krātuves tehnoloģijās. Izslēdzot klienta seifu vidē, ar attiecīgo vidi saistītie klientu dati tiek aizsargāti ar seifa politiku neatkarīgi no krātuves tipa.

Note

  • Pašlaik lietojumprogrammas un pakalpojumi, kuros bloķēšanas kastes politika tiks ieviesta, tiklīdz tā būs iespējota, ir (izņemot kartes Power Apps ), Power Apps, AI Builder, Power Pages, Power Automate,( Microsoft Copilot Studio izņemot GPT AI funkcijas), Dataverse klientu ieskati, klientu apkalpošana, kopienas, ceļveži, savienotās telpas, finanses (izņemot dzīves cikla pakalpojumus), projektu darbības (izņemot Lifecycle pakalpojumus), piegādes ķēdes pārvaldība (izņemot Lifecycle pakalpojumus) un reāllaika mārketinga funkcija programmas Mārketings apgabals.
  • Līdzekļi, kuru darbību nodrošina Azure OpenAI Service, ir izslēgti no Lockbox politikas ieviešanas, ja vien konkrētā līdzekļa produkta dokumentācijā nav norādīts, ka tiek lietots Lockbox.
  • Nuance Sarunvalodas IVR ir izslēgts no Lockbox politikas ieviešanas, ja vien konkrētā līdzekļa produkta dokumentācijā nav norādīts, ka tiek lietots Lockbox.
  • Maker sveiciena saturs ir izslēgts no Lockbox politikas ieviešanas.
  • Jums ir jāatspējo Lucene.NET meklēšana savā vietnē un jāpāriet uz Dataverse meklēšanu, lai varētu izmantot klientu bloķēšanas lodziņu. Papildinformācija: Meklēšana portālos, izmantojot Lucene.NET meklēšanu, ir novecojusi.

Workflow

  1. Jūsu organizācijai ir problēma ar Microsoft Power Platform, un tiek atvērts atbalsta pieprasījums Microsoft atbalsta dienestam. Alternatīvi Microsoft proaktīvi identificē problēmu (piemēram, tiek ierosināts proaktīvs paziņojums), un tiek atvērts Microsoft ierosināts notikums, lai izpētītu un mazinātu vai labotu pamatcēloni.

  2. Microsoft operators pārskata atbalsta pieprasījumu/notikumu un mēģina novērst problēmu, izmantojot standarta rīkus un telemetriju. Ja turpmākai problēmas novēršanai ir nepieciešama piekļuve klientu datiem, Microsoft inženieris ierosina iekšēju apstiprināšanas procesu, lai piekļūtu klientu datiem, neatkarīgi no tā, vai ir iespējota seifa politika.

  3. Turklāt seifa pieprasījums tiek ģenerēts, ja attiecīgā datu krātuve ir saistīta ar vidi, kas ir aizsargāta atbilstoši seifa politikas iespējošanai. E-pasta paziņojums tiek nosūtīts norādītajiem apstiprinātājiem (globālajiem administratoriem un Power Platform administratoriem) par gaidošo datu piekļuves pieprasījumu no Microsoft.

    Svarīgi

    Microsoft inženieris nevarēs turpināt izmeklēšanas darbu, kamēr klients nebūs apstiprinājis seifa pieprasījumu. Tas var izraisīt atbalsta biļetes apstrādes aizkavi vai ilgstošus pārtraukumus. Pārliecinieties, ka jūs pārraugāt e-pasta paziņojumus un/vai seifa pieprasījumus Power Platform administrēšanas centrā un savlaicīgi atbildat, lai izvairītos no apkalpošanas pārtraukumiem.

    Bloķēšanas kastes pieprasījuma paraugs.

  4. Apstiprinātājs piesakās Power Platform administrēšanas centrā un apstiprina pieprasījumu. Ja pieprasījums tiek noraidīts vai netiek apstiprināts četru dienu laikā, tā derīguma termiņš beidzas un Microsoft inženierim netiek piešķirta piekļuve.

  5. Pēc tam, kad apstiprinātājs no jūsu organizācijas ir apstiprinājis pieprasījumu, Microsoft inženieris saņem augstāka līmeņa atļaujas, kas tika sākotnēji pieprasītas, un novērš jūsu problēmu. Microsoft inženieriem ir noteikts laika periods — 8 stundas — problēmas risināšanai, bet pēc tam piekļuve tiek automātiski atsaukta.

Seifa politikas iespējošana

Globālie administratori vai Power Platform administratori var izveidot vai atjaunināt seifa politiku Power Platform administrēšanas centrā. Nomnieka līmeņa politikas iespējošana tiks lietota tikai tām vidēm, kas ir aktivizētas pārvaldītajām vidēm. Klientu seifa ieviešana visos datu avotos un visās vidēs var ilgt līdz 24 stundām.

  1. Pierakstieties Power Platform administrēšanas centrā.

  2. Izmantojiet nomnieka iestatījumu lapu, lai pārskatītu un pārvaldītu nomnieka līmeņa iestatījumus. Lai skatītu nomnieka līmeņa iestatījumus, vietnes augšējā labajā stūrī atlasiet zobrata ikonu (Zobrata ikona.) un kreisās puses navigācijas rūtī atlasiet Microsoft Power Platform iestatījumi Power Platform Iestatījumi>Nomnieka iestatījumi>.

  3. Iestatiet opciju Customer Lockbox uz Iespējot.

    Ieslēdziet bloķēšanas kastes politiku.

Seifa pieprasījuma pārskatīšana

  1. Pierakstieties Power Platform administrēšanas centrā.

  2. Atlasiet Politikas>Klientu bloķēšanas lodziņš.

  3. Pārskatiet pieprasījuma detalizēto informāciju.

    Kolonna Apraksts
    Atbalsta pieprasījuma ID Ar seifa pieprasījumu saistītās atbalsta biļetes ID. Ja pieprasījums ir Microsoft ierosināta iekšējā brīdinājuma rezultāts, vērtība ir “Microsoft uzsākts”.
    Vide Tās vides parādāmais nosaukums, kurā tiek pieprasīta datu piekļuve.
    Statuss Seifa pieprasījuma statuss.
    • Nepieciešamā darbība: gaida klienta apstiprinājumu
    • Beidzies derīgums: no klienta nav saņemts apstiprinājums
    • Apstiprināts: klients apstiprinājis
    • Noraidīts: klients noraidīja
    Pieprasīts Laiks, kad Microsoft inženieris pieprasīja piekļuvi klientu datiem klienta vidē.
    Pieprasījuma derīguma termiņš Laiks, līdz kuram klientam ir jāapstiprina seifa pieprasījums. Ja šajā laikā apstiprinājums netiek sniegts, pieprasījuma statuss tiek mainīts uz Beidzies derīgums.
    Piekļuves periods Periods, cik ilgi pieprasītājs vēlas piekļuvi klienta datiem. Šī vērtība pēc noklusējuma ir 8 stundas, un to nevar mainīt.
    Piekļuves derīguma termiņš Ja tiek piešķirta piekļuve, šis ir laiks, līdz kuram Microsoft inženieris var piekļūt klientu datiem.

  4. Atlasiet seifa pieprasījumu un pēc tam atlasiet Apstiprināt vai Noraidīt.

    Bloķēšanas lodziņa pieprasījumu apstiprināšana vai noraidīšana

    Piezīmes

    Pēdējo 28 dienu laikā notikušie seifa pieprasījumi tiek parādīti tabulā Jaunākie.

    Pēc pieprasījuma apstiprināšanas to nevar atsaukt līdz visa 8 stundu piekļuves perioda garumā.

Seifa audita pieprasījumi

Darbības, kas saistītas ar seifa pieprasījumu pieņemšanu, noraidīšanu vai derīguma beigām, tiek automātiski ierakstītas risinājumā Microsoft 365 Defender.

Microsoft 365 Aizstāvja lapa.

Audita izsekošana ietver šos un citus laukus katram seifa pieprasījumam:

  • Unikāls identifikators pieprasījumam
  • Pieprasījuma izveides laiks
  • Organizācijas ID
  • Lietotāja ID (tā Microsoft operatora unikālais identifikators, kas izpildīja pieprasījumu)
  • Pieprasījuma statuss
  • Saistītās atbalsta biļetes ID
  • Pieprasījuma derīguma termiņš
  • Datu piekļuves derīguma termiņš
  • Vides ID
  • Pieprasījuma pamatojums

Izmantojot cilni Microsoft 365 Audits, administratori var meklēt notikumus, kas saistīti ar seifa sesijām. Skatiet kategoriju Power Platform seifs ar Power Platform saistītiem seifa notikumiem.

Atlasiet bloķēšanas Power Platform lodziņa kategoriju.

Administratori var tieši eksportēt rezultātu kopu, pamatojoties uz filtra kritērijiem.

Lockbox auditē meklēšanas rezultātus.

Klientu Lockbox izveido divu veidu audita žurnālus:

  1. Žurnāli, kurus iniciē Microsoft un kuri atbilst bloķēšanas lodziņa izveides pieprasījumam, kura derīguma termiņš ir beidzies vai kad beidzas piekļuves sesijas. Šī audita žurnālu kopa neatbilst konkrētam lietotāja ID, jo darbības uzsāk Microsoft.
  2. Žurnāli, ko iniciē lietotāja darbības, piemēram, kad lietotājs apstiprina vai noraida bloķēšanas lodziņa pieprasījumu. Ja lietotājam, kas veic šīs darbības, nav piešķirta E5 licence, žurnāli tiek filtrēti un netiek rādīti audita žurnālos.

Pēc noklusējuma audita žurnāli tiek glabāti vienu gadu. Lai audita ierakstus saglabātu 10 gadus, ir nepieciešama 10 gadu audita žurnāla saglabāšanas pievienojumprogrammas licence. Papildinformāciju par audita žurnāla saglabāšanu skatiet sadaļā Audits (Premium).

Customer Lockbox licencēšanas prasības

Klientu seifa politika tiks ieviesta tikai tajās vidēs, kas ir aktivizētas pārvaldītajām vidēm. Pārvaldītās vides ir iekļautas kā pilnvara savrupās Power Apps, Power Automate,, Microsoft Copilot Studio,, Power Pages un Dynamics 365 licencēs, kas piešķir premium lietošanas tiesības. Papildinformāciju par pārvaldītās vides licencēšanu skatiet rakstā Licencēšanas un Licencēšanas pārskats pakalpojumā Microsoft Power Platform.

Turklāt, lai piekļūtu Customer Lockbox for Microsoft Power Platform un Dynamics 365, lietotājiem vidēs, kurās tiek īstenota Lockbox politika, ir nepieciešams kāds no šiem abonementiem:

  • Microsoft 365 vai Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Atbilstība
  • Microsoft 365 F5 drošība un atbilstība
  • Microsoft 365 A5/E5/F5/G5 Iekšējā riska pārvaldība
  • Microsoft 365 A5/E5/F5/G5 Informācijas aizsardzība un pārvaldība Uzziniet vairāk par piemērojamajām licencēm.

Izņēmumi

  • Seifa pieprasījumi netiek ierosināti šādos tehniskā atbalsta scenārijos:

    • Neparedzēti scenāriji, kas neietilpst standarta operāciju procedūrās, piemēram, liels servisa pārtraukums, kam jāpievērš tūlītēja uzmanība, lai atgūtu vai atjaunotu pakalpojumus neparedzētos vai negaidītos gadījumos. Šie traucējumu notikumi ir reti, un vairumā gadījumu šādu problēmu atrisināšanai nav nepieciešama piekļuve klientu datiem.

    • Microsoft inženieris piekļūst pamata platformai problēmas novēršanas nolūkos un nejauši piekļūst klientu datiem. Šādu scenāriju gadījumā rezultāts reti ir piekļuve būtiskam klientu datu apjomam.

  • Klientu seifa pieprasījumi netiek ierosināti arī ārēju likumisko datu pieprasījumu gadījumā. Papildinformāciju skatiet diskusijā par valdības datu pieprasījumiem Microsoft drošības kontroles centrā.

  • Customer Lockbox neattieksies uz piekļuvi klientu datiem, kas tiek kopīgoti Copilot AI funkcijām, un to manuālu pārskatīšanu. Customer Lockbox joprojām būs iespējots visiem tvērumā esošajiem datiem.

Zināmās problēmas

  • Ja ir iespējots klientu seifs, netiek atbalstīta migrācija no nomnieka uz nomnieku. Lai vidi pārvietotu uz citu nomnieku, ir jāatspējo klientu seifs. Kad migrācija ir pabeigta, varat atkārtoti iespējot klientu seifu.